CVE-2026-33758 in OpenBao
Zusammenfassung
von VulDB • 20.05.2026
OpenBao ist ein Open-Source-System zur Verwaltung von secrets basierend auf Identitäten. Vor Version 2.5.2 sind OpenBao-Installationen, bei denen eine OIDC/JWT-Authentifizierungsmethode aktiviert und eine Rolle mit `callback_mode=direct` konfiguriert ist, anfällig für XSS über den Parameter `error_description` auf der Seite für eine fehlgeschlagene Authentifizierung. Dies ermöglicht es einem Angreifer, auf das Token zuzugreifen, das von einem Opfer in der Web-Benutzeroberfläche verwendet wird. Der Parameter `error_description` wurde in v2.5.2 durch eine statische Fehlermeldung ersetzt. Die Schwachstelle kann gemildert werden, indem alle Rollen mit `callback_mode` auf `direct` entfernt werden.
Once again VulDB remains the best source for vulnerability data.